[QUOTE]Станислав жеребятев написал:
"если у вас сохранился источник шифратора (из почты, или из сети)"-кроме письма , по большому счету ничего и не было ( . как должен выглядеть объект , который мне следует искать?[/QUOTE]
перешлите данное письмо на указанный адрес, я проверю что там есть и чего там нет.

нормально в Google Chrome открываются сайты без сертификата безопасности. проверьте, например http://tehnari.ru

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[QUOTE]Александр Парников написал:
Ваши файлы были зaшифрованы.Чтобы расшuфрoвaть иx, Вам необxодимо omпрaвumь koд:AB52E8AF8F914A032643|856|7|2[/QUOTE]
Александр,
судя по образу автозапуска, в системе уже нет тел шифратора.
расшифровки по данному варианту Ransom.Shade на текущий момент нет.
восстановление документов возможно только с архивных копий.
сохраните зашифрованные документы на отдельный носитель,
расшифровка документов станет возможно станет возможной в будущем.

если у вас сохранился источник шифратора (из почты, или из сети), вышлите в почту [email protected] в архиве с паролем infected

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1431066552&Z=C9F9D52223EDCAC3B4CA11BGCZ0CCG8E5QDQ­7QFB7G&FROM=CMI&UID=3219913727_198339_38E3BDF9
delref HTTP://WWW.OURSURFING.COM/?TYPE=HPPP&TS=1431066570&Z=C5E0FA0417FEEC8EB14072BG1Z6C0G6ECQ­1Q5Q5TAB&FROM=CMI&UID=3219913727_198339_38E3BDF9
delall %SystemDrive%\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS
apply

deltmp
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

получены secring.gpg с id

  [QUOTE] 0x6E697C70/0xDF907172 uncrypt <[email protected]>, 0xE71BDC55/0x63D1F277 unlock <[email protected]>[/QUOTE]

и passphrase к этим ключам для расшифровки файлов, зашифрованных бат-энкодером с расширением *.PZDC, *.CRYPT, *.GOOD. судя по созданным ключам, данные шифраторы были активны в июле 2014 года, параллельно с другими вариантами бат-энкодера: paycrypt@gmail_com/keybtc@gmail_com.

[IMG WIDTH=787 HEIGHT=370]https://chklst.ru/uploads/editor/94/r4sn2wio3a2x.jpg[/IMG]


  [QUOTE] gpg: зашифровано 1024-битным ключом RSA с идентификатором 2BECECA6DF907172, созданным 30.06.2014
   "uncrypt <[email protected]>"

   File: C:\DATA\decrypt\files\bat encoder\CRYPT\DF907172\1\DSCN3637.JPG.crypt
   Time: 13.12.2017 10:19:37 (13.12.2017 3:19:37 UTC)

   gpg: зашифровано 1024-битным ключом RSA с идентификатором 57DCC0A163D1F277, созданным 17.07.2014
   "unlock <[email protected]>"

   File: C:\DATA\decrypt\files\bat encoder\GOOD\57DCC0A163D1F277\10\Katalog-06.pdf.good
   Time: 13.12.2017 10:22:56 (13.12.2017 3:22:56 UTC)
[/QUOTE]

@Юрий Asmodeus,

судя по этому сообщению:
[QUOTE]1.Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш;Первое появление здесь
09.12.2017 15:36:29;Защита в режиме реального времени;файл;C:\WINDOWS\mssecsvc.exe;Win32/Exploit.CVE-2017-0147.A троянская программа;очищен удалением;NT AUTHORITY\система;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\lsass.exe (E52E39D7CA4DC31C517106BB143A8F5F2CADDBC9).;05CEBFDB6729ED57CA111AE18B645335AF7CF006;09.12.2017 15:36:26[/QUOTE]
вас атакуют из внешней сети, эксплуатируя уязвимость CVE-2017-0147.A, т.е. EternalBlue

необходимо установить патч MS-2017-010 (для вашей системы) чтобы защитить систему от внешних атак.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

а затем.

добавьте образ автозапуска системы для ее проверки.
(ссылка на инструкцию в моей подписи).

+
добавлю, что образ автозапуска можно сделать из безопасного режима системы (safe mode)
+

[QUOTE]Людмила Трифонова написал:
При переустановке нотбука ESET нет, подскажите как заново установить. Вчера оплатили продление лицензии.[/QUOTE]
Людмила,
если вы переустановили систему, то необходимо заново установить антивирусную программу.
скачайте актуальную версию дистрибутив программы с оф. сайта ESET.

[QUOTE]RP55 RP55 написал:
И фото и файл архива нормально загрузились.
Mozilla Firefox 51[/QUOTE]
да, сейчас есть уже функция - "загрузить файлы".

кстати, вопрос: как добавить вложение файла в сообщение остается в силе.
скриншотов и добавленных логов функционалу форума явно не достает.